2.0 KiB
2.0 KiB
title, type, tags, sources, last_updated
| title | type | tags | sources | last_updated | |||||
|---|---|---|---|---|---|---|---|---|---|
| OWASP | entity |
|
|
2025-12-19 |
Overview
OWASP(Open Web Application Security Project,开放式 Web 应用安全项目)是一个开源的社区驱动的非营利组织,专注于提高软件安全性。OWASP 是全球应用安全领域最具影响力的社区之一,其工具、标准和技术文档被广泛应用于 DevSecOps 实践中。
Key Deliverables
OWASP Top Ten
最知名的 OWASP 项目,列出 Web 应用最关键的 10 大安全风险,是 DevSecOps 安全测试的核心参考标准:
- Broken Access Control(访问控制失效)
- Cryptographic Failures(加密失败)
- Injection(注入攻击)
- Insecure Design(不安全设计)
- Security Misconfiguration(安全配置错误)
- Vulnerable and Outdated Components(易受攻击和过时的组件)
- Identification and Authentication Failures(识别和身份验证失败)
- Software and Data Integrity Failures(软件和数据完整性失败)
- Security Logging and Monitoring Failures(安全日志和监控失败)
- Server-Side Request Forgery(服务器端请求伪造)
Other Key Projects
- OWASP ZAP:开源 Web 应用安全扫描器(DAST 工具)
- OWASP ASVS:应用安全验证标准
- OWASP SAMM:软件保证成熟度模型
- OWASP Dependency-Check:SCA 工具(SCA)
Role in DevSecOps
在 DevSecOps 中,OWASP 提供:
Related Concepts
- DevSecOps — OWASP 是 DevSecOps 工具链的核心参考
- DAST — OWASP ZAP 是主流 DAST 工具
- SAST — OWASP 提供安全编码标准
- OWASP Top Ten — Web 应用安全风险的权威列表